価格.com の改竄は SQLインジェクション
asahi.com: データベースを攻撃、外部から支配 カカクコムHP事件 によると、価格.com が改竄された事件は、OS の欠陥を利用されたものではなく、SQL インジェクションによる攻撃だったと発表されたそうです。
関係者によると、データベースは「ある範囲の情報を探す」「条件に合ったデータを取り出す」といったコンピューター言語「SQL」で操作する。今回の攻撃は「SQLインジェクション」と呼ばれる手法を応用。攻撃者が利用者のふりをしてデータを入力し、戻ってきたエラーメッセージなどを解析しながらシステムを把握して、データベースを支配下に置いていったとみられる。
SQL インジェクションだけで静的な HTML に iframe 要素などのタグが書き込まれたということなのでしょうか。だとすると XSS の欠陥もあったと言えるのではないでしょうか。静的な HTML は SQL のトリガーか何かで吐き出される仕組みだったのでしょうかね。
これまでのサイト攻撃は、OSの不備やホームページをネットに提供するプログラムのミスなどを突くケースが多かった。今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意のある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置いていた。
えーと。SQL インジェクションを許したのであれば、それはプログラムの欠陥だと思うのですが。一度「最高レベルのセキュリティ」などと公言してしまいましたから、プログラムのミス、欠陥とは言いたくないのでしょうけど。
価格.comの攻撃手法はSQLインジェクション
「asahi.com」の記事によれば、「価格.comクラック事件」の攻撃手法は「SQLインジェクション」によるものだと言うことです。asahi.com: データベースを攻撃、外部から支配 カカクコムHP事件-社会「SQLインジェク……
トラックバック by 陽のあたらない美術館 -人間再生- — 2005-05-24 19:35
Re: 価格.com の改竄は SQLインジェクション
価格.com の改竄は SQLインジェクションより
これまでのサイト攻撃は、OSの不備やホームページをネットに提供するプログラムのミスなどを突くケースが多かった。
攻撃者が利…
トラックバック by [牛] うしぶろぐ — 2005-06-2 03:17